FI har under sommaren meddelat beslut i två tillsynsärenden gällande åtgärder mot penningtvätt och finansiering av terrorism. Att motverka penningtvätt är ingen enkel uppgift och det är mycket svårt att utvärdera om en organisations åtgärder i praktiken är effektiva eller inte.
FI har i de båda besluten valt att inte fokusera på företagens individuella bedömningar och åtgärder gällande så kallade högriskkunder utan istället på hur bolagen har satt upp sin organisation och vilka resurser som har tilldelats arbetet med kundkännedom och löpande uppföljning av transaktioner. Tyvärr lämnar FI inte särskilt mycket vägledning kring vad deras syn på ”best practice” är utan väljer istället att endast beskriva vad de inte tycker är bra nog.
Oavsett FI:s val att bedriva tillsyn med en mer teoretisk/organisatorisk inriktning, där fokus ligger på resurstilldelning, rapportering och riskbedömning finns det några punkter i besluten som vi bedömer är värda att beakta i det fortsatta arbetet mot penningtvätt och finansiering av terrorism.
Blockering av kunder med undermålig KYC
Under en längre tid har det funnits en uppfattning att om man förhindrar kunder att använda sina tillgångar tex. genom att spärra inloggning, stänga av tjänster etc. för kunder där KYC-informationen är gammal/undermålig så har man vidtagit tillräckliga åtgärder.
I beslutet mot JAK Medlemsbank konstaterar FI att detta inte duger. Företag under tillsyn är skyldiga att ha god kundkännedom och måste därmed bedriva ett aktivt arbete med att uppdatera kundkännedomsinformation
Arbete med transaktionsövervakning
I beslutet mot SEB diskuterar FI arbetet med transaktionsövervakning i förhållande till intressekonflikter och konstaterar att arbetet med övervakning av transaktioner inte bör utföras av funktionen för regelefterlevnad (Se beslutet mot SEB s. 46 – 47).
Att transaktionsövervakningen genomförs av regelefterlevnadsfunktionen är relativt vanligt i Sverige och framförallt i mindre bolag. I många fall är det också regelefterlevnadsfunktionen som har högst kompetens när det gäller misstänkta beteenden och mönster som kan utgöra signaler som tyder på penningtvätt. Det är oklart om FI anser att det främst är i större organisationer som oberoendet kan anses äventyras eller om detta gäller generellt? Oavsett innebär det att många bolag kan behöva se över arbetet med transaktionsövervakning och säkerställa en tillräcklig grad av oberoende.
Allmän Riskbedömning
FI lägger stor vikt vid hur företag under tillsyn utformar sin allmänna riskbedömning. I beslutet mot JAK (s. 7) betonar FI särskilt vikten av en koppling mellan risknivå och åtgärder. FI konstaterar att banken visserligen har gjort en indelning av sina kunder och produkter i olika kategorier men att det är svårt att härleda vilka faktiska skillnader i åtgärder vad gäller inhämtning av information, löpande åtgärder och övervakning vad gäller de olika kategorierna och att bolaget därmed inte kan sägas ha ett riskbaserat förhållningssätt.
Rekommendationen är därför att noggrant gå igenom sina riskkategorier och säkerställa att det är tydligt vilka åtgärder som ska vidtas för varje riskkategori och att åtgärderna är proportionerliga mot den aktuella riskkategorin.
Slutsats
Det står klart att företag under tillsyn, oavsett storlek och komplexitet måste ha en god nivå på såväl riskbedömning, kundkännedomsarbete, uppföljning, övervakning och rapportering. Vi på Apriori har erfarenhet av såväl det teoretiska som praktiska arbetet med åtgärder mot penningtvätt och finansiering av terrorism och hjälper er gärna att hitta rätt balans mellan de olika delarna.
Länkar till besluten: